EvilQuest Zararlı Yazılım Analizi

EvilQuest Zararlı Yazılım Analizi

EvilQuest zararlı yazılımının fidye yazılımları ile aynı yeteneklere sahip olduğu ve macOS’ları hedef aldığı haberine büyük ilgi duyuldu. Kötü amaçlı yazılım araştırmacısı Dinesh Devadoss tarafından macOS topluluğunun dikkatine sunulan bu tehdit, Scott Knight, Patrick Wardle ve Sentinel Labs ekibi tarafından yapılan çalışmalarla birlikte güvenlik araştırmacıları tarafından yoğun bir incelemeye tabi tutuldu. Görünüşe göre, bu tehdit basit bir fidye yazılımından çok daha fazlası, aktif geliştirme aşamasındadır ve şimdiye kadar Mac platformunu hedef alan en karmaşık tehditlerden biridir. Bu yazıda, bugüne kadar bilinenleri ele alacağız ve sizi en son gelişmeler hakkında bilgilendireceğiz.

EvilQuest’in Diğer İsimleri ThiefQuest ve MacRansom.K

Tehdit başlangıçta Malwarebytes’teki araştırmacılar tarafından “EvilQuest” olarak adlandırıldı. Bundan birkaç gün sonra ise onu “ThiefQuest” olarak yeniden isimlendirdiler. Önerdikleri iki ismin yanı sıra, VirusTotal’deki birçok tarayıcı da onu MacRansom.K olarak tanımlamaktadır.

Bu durum ne yazık ki, hem tehdit hem de yetenekleri konusunda bazı karışıklıklara neden oldu.

Mac.Ransom.K daha önceden tanımlanmış bir kurala uysa da, bu kural kapsamında değerlendirmek doğru olmaz. Çünkü bu tehdit sadece bir fidye yazılımından ibaret değil. Kötü amaçlı yazılım üreticileri bu yazılıma birden çok özellik kazandırdıklarından dolayı, tehdit türüne göre sınıflandırmak o kadar da doğru olmayabilir.

Doğru bir kötü amaçlı yazılım adlandırma kuralı, İdeal olarak kötü amaçlı yazılım örneklerini ortak özelliklere göre gruplandırandır. 

echo 'toidievitceffe' | rev

effectiveidiot

Dahası, geliştiricilerin Xcode projelerinin adı olarak açıkça “toidievitceffe” kullandıklarını görüyoruz.

Buradaki diğer ilginç şey ters çevrilmiş “naughtycuckoo”, “keylogger” ve “filewatcher” kelimelerinin bulunmasıdır; bunlar aşağıda daha ayrıntılı olarak açıklayacağımız gibi, tehdit aktörünün gerçek motivasyonuna dair iyi bir fikir vermektedir.

Bazı örneklerde, ters çevrilmiş “effectiveidiot” kelimesi 60’tan fazla kez tekrarlanmış. Bu durum kötü amaçlı yazılım üreticilerinin, güvenlik araştırmacılarının bunu bir isim olarak kullanacaklarını düşündüklerini göstermektedir. Karmaşık dizeleri otomatik olarak algılayan, ayıklayan ve kodlarını çözen bir araç olan “floss”’u kullanıyoruz.

Dahası, son örneklerde dize gizleme, geliştiricilerin kasıtlı bir şekilde kullanıcı adı olarak  “drozdovsky”, yapı adı olarak “toidievitceffe” kullanması, şüphesiz bu atıfı yanlış yönlendirmeye için bir girişim olduğunu göstermektedir.

Kötü amaçlı yazılım adlandırma kurallarının için hayati derecede önemli olmadığı tartışılabilirken, yine de araştırmacılar, yapılmakta olan public tartışmalar ve araştırmaları izleyenler için yararlı olduğu düşünülmektedir. Bu yeni tehdide “OSX.EffectiveIdiot” adını vermek için güçlü bir argüman olmasına rağmen, bu adlandırma karmaşasının muhtemelen çözülemeyecek kadar kötü olduğundan şüpheleniyoruz. Medyada ilk ve en  yaygın kullanım olarak “EvilQuest/ThiefQuest” olduğundan dolayı muhtemelen kalıcı isim haline gelecektir. Nitekim kim manşetlerde bir hırsızı(Thief) veya bir parça kötülüğü(Evil) sevmez ki?

Broken Crypto: Fidye Yazılımı Yetenekleri, Sadece Gösteri İçin mi?

“EvilQuest / ThiefQuest” ile ilgili duyulan ilk heyecan, yeni bir macOS ransomware tehdidi olmasından dolayıydı. Fidye yazılımları Windows dünyasını son zamanlarda talan ediyor, ancak bu, yalnızca macOS’u hedef alan üçüncü bilinen fidye yazılımıdır. Bu başlı başına garip çünkü Mac’ler artık kurumsal ortamlarda, özellikle C-Suite personeli ve geliştiriciler tarafından yoğun olarak kullanılmaktadır. Her ikisi de tehdit aktörleri için çekici hedefler listesinde yer almaktadır. Dolayısıyla, Mac’i etkileyen bir fidye yazılımının ortaya çıkması çok da beklenmedik bir şey değildir.

Ancak “EvilQuest/ThiefQuest” ilerledikce hemen hemen her başarı derecelendirmesinde başarısız oluyor. Birincisi ve en önemlisi, insanların dosyalarını şifreleyerek parayı gasp edecekseniz, şifrelemenizi kırılamaz hale getirmelisiniz. Kripto zordur ve bunu yapacak kadar akıllı olan herkesin size söyleyeceği tek şey şudur: Kendinizi fazla zorlamayın, çünkü kaçınılmaz olarak yanlış yapacaksınız. Başarılı fidye yazılımı operatörleri bu tavsiyeye uyacak kadar akıllıdır ve tipik olarak en azından asimetrik şifreleme algoritmalarını kullanır; başka bir deyişle, yalnızca saldırgan tarafından tutulan özel bir anahtara erişim gereklidir.

Geliştiriciler bu seçenekten vazgeçmeyi seçtiler ve simetrik bir anahtar ile şifrelemeyi tercih ettiler, yani bir dosyayı şifreleyen anahtarın, aynı zamanda dosyanın şifresini çözmek için de kullanıldığının anlamına gelir. SentinelLabs’daki araştırma lideri Jason Reaves’in keşfettiği gibi daha da iyisi:

“… Dosya şifreleme anahtarını kodlamak için kullanılan açık metin anahtarı, kodlanmış dosya şifreleme anahtarına eklenir. Tamamen şifrelenmiş bir dosyaya bakmak, ona bir veri bloğunun eklendiğini gösterir. “

Bu durum, Jason ve SentinelLabs ekibinin, bu kötü amaçlı yazılımın kurbanı herkes tarafından kullanılabilecek herkese açık bir şifre çözücü oluşturmasına olanak sağladı. Bu video şifre çözücünün nasıl kullanacağını gösteriyor:

https://assets.sentinelone.com/evilquest/436134590/

Kriptoyu makul ölçüde kusursuz hale getirmenin yanı sıra, bir fidye yazılımı operatörü bu  çabaları için de iyi bir ödül isteyecektir. Belki de “EvilQuest/ThiefQuest” ile ilgili yanlış olan şeye dair ilk ipucu fidye notunun kendisiydi.

İstenilen Fidye Tutarı Çok Düşüktü

Fidye metninde iki şey göze çarpıyor: İnanılmaz derecede düşük fidye miktarı ve kurbanın saldırganla iletişim kurması için herhangi bir e-posta veya başka bir iletişim aracı olmaması. Yine, Windows dünyasından gelen modeli kullanarak, fidye yazılımı operatörleri, insanların ödeme yapmasını sağlamak için doğru düğmelere basması konusunda çok becerikli ve verimli hale geldi. Bu durum tehditleri ve güvenceyi ve hatta müşteri desteğini bir arada barındırmaktadır. Ama bu durum burası için söz konusu değil. Fidye notu şu anlama gelir: ‘bize paranızı gönderin; iletişim halinde olacağız”, ancak tehdit aktörlerine ödediğinizi söylemenizin herhangi bir yolu yok. İletişim adresiniz için talep yok. Bir örnek şifrelenmiş dosya veya başka herhangi bir belirleyici faktör için talep oluşturabilecek alan yok. Klasik “Bizi arama, biz sizi arayacağız” deyimi burada akla geliyor.

İstenilen fidye tutarından ve diğer faktörlerden de şaşırılmayacak bir şekilde, tehdit aktörleri bir servet biriktirmiyor. Bugüne kadar tüm örneklerde ortak olan bilinen bir BitCoin adresi için tam olarak sıfır işlem gerçekleştirdi.

SentinelLabs, fidye yazılımının bileşeninde şifre çözme rutini olan uncarve_target’in kodda hiçbir çağrısı olmadığını belirtti. Bu durum ya işlevselliğin eksik olduğuna ya da yazarların şifre çözme işleminin sunmayı planladıkları bir şey olmadığını öne sürdüler.

Paylaşılan Klasördeki Veri Hırsızı!

Yukarıdaki gibi ayrıntılar ortaya çıktıkça, dikkatler kötü amaçlı yazılımın diğer yeteneklerine çevrildi. Özellikle de /Users/Shared klasörüne üç Python komut dosyasını indirip çalıştırdığı gerçeğine çevrildi. Bu komut dosyaları, belirli uzantılara sahip dosyaları aramak ve dışarı aktarmak için kodlanmıştır.

Komut dosyaları, örnekler arasında ad olarak farklılık göstermekte, ancak başlangıçta aşağıdaki kısa adlar kullanılmıştır:

/Users/Shared/.dr

/Users/Shared/.p

/Users/Shared/.gp

Dahası, kullanıcının Kitaplık klasöründe görünmez olarak depolanan Mach-O ikili dosyaları içinde kilitli olan kötü amaçlı yazılımın veri çalma yeteneklerinden daha fazlası var.

Aşağıdaki şifrelenmiş dizelere dikkat edin:

Bunların şifresini çözmek için diğer macOS araştırmacısı Scott Knight tarafından geliştirilen bir araç kullanabiliriz, bu da aşağıdaki düz metin olarak ortaya çıkarmaktadır:

bytearray(b'*id_rsa*/i\x00')

bytearray(b'*.pem/i\x00')

bytearray(b'*.ppk/i\x00')

bytearray(b'known_hosts/i\x00')

bytearray(b'*.ca-bundle/i\x00')

Kötü amaçlı yazılımın, uzaktan oturum açmayı kolaylaştırmak, web tarayıcılarının güvenlik uyarıları göstermeden sitelere güvenmek, manipüle etme yeteneğini kolaylaştırmak için SSH anahtarlarını ve güvenilir sertifikaları aradığı anlaşılıyor.

Diğer araştırmacıların da belirttiği gibi, tuş vuruşları gibi düşük seviyeli donanım olaylarını hedef alan API isteklerinin varlığı yoluyla, keylogger’ın işlevselliğine dair geniş kanıtlar da vardır. Fonksiyon adının ilk yarısını tersine çevirin ve “klgr_flie”’deki yazım hatasını “file” olarak kabul edin. 

Ayrıca, diğer platformlardaki silici(wiper) kötü amaçlı yazılımlardan ve diğer agresif fidye yazılımı türevlerinden farklı olarak, fidye yazılımının, kullanıcının cihazı sürekli olarak kullanabilmesine gerçekten müdahale etmediğini de belirtmek gerekir. Sadece basit bir osascript tarafından oluşturulan uyarı iletişim kutusu ile kullanıcıya dosyalarının şifrelendiği hakkında bilgi vermektedir.

Yeni Varyant, macOS Araştırmacısını Çağırıyor

İlk teknik ayrıntıların büyük bir kısmı macOS araştırmacısı Patrick Wardle tarafından yayınlandı. Yayınlanan ayrıntılara bağlantıdan ulaşabilirsiniz https://objective-see.com/blog/blog_0x60.html

Wardle, kötü amaçlı yazılımın viral yeteneklere sahip olduğunu ve kullanıcının ana klasöründeki mevcut yürütülebilir dosyaları etkilemeye çalıştığını, ancak bu davranışın yaptıkları testlerde görülmemiş olduğunu belirtiyor.

Önceki araştırmadan bu yana, güncellenmiş kodlar ve yollar ile yeni varyantlar ortaya çıktı. Özellikle, Wardle’ın şifrelenmiş “Merhaba Patrick” metniniiçeren “react_ping” methodundaki araştırmasına bir selam gizlenmiş.

Ayrıca son sürüme C2 adresi 167.71.237.219’dan 159.65.147.28’e güncellenmektedir ve kontrol etmek için yazılım listesinde Wardle’ın ”Knock Knock” aracını barındırmaktadır:

Diğer yeni değişiklikler arasında çalıştırılabilir katman için “abtpd” kullanılması yer alıyor. Kodda, “.ab**d” nin farklı yüklemeler arasında bir değişken olabileceği yönünde öneriler var, ancak bunu yazarken onaylamadık. “AppQuest” klasör adını kullanmak yerine, kalıcılık aracısı artık saldırgan tarafından oluşturulan “PrivateSync” adlı bir klasöre işaret ediyor.

Benzer şekilde, ilk örneklerde 43 bayt boyutunda görünmez bir metin dosyası  /var/root/ ve /Users/User1/  konumuna “.ncspot” adıyla oluşturuldu. Test ettiğimiz en son örnekte, spot dosyası aynı  konuma “.aespot” adıyla bırakıldı.

Şimdiye kadarki hızlı değişmeleri de göz önünde bulundurarak, tüm bu ayrıntıların saatler içinde olmasa bile birkaç gün içinde değişmesini bekleyebiliriz.

MacOS’u EvilQuest / ThiefQuest Kötü Amaçlı Yazılımına Karşı Koruma

https://assets.sentinelone.com/evilquest/436127898

Linkteki videoda SentinelOne’ın macOS’u EvilQuest Fidye Yazılımına Karşı Nasıl Koruduğu Anlatılmaktadır.

Bu kötü amaçlı yazılımın kurbanı olduysanız, sorunsuz bir tarihten geri yükleme yapmanızı öneririz. Ayrıca, keylogging ve diğer casus yazılım özellikleri nedeniyle, parolaların değiştirilmesi ve SSH sertifikalarının sıfırlanması tavsiye edilir.

EvilQuest tarafından şifrelenmiş dosyalarınız varsa, herkese açık şifre çözme aracına makalenin sonundaki bağlantıdan ulaşabilirsiniz.

Sonuç

Bu zararlı yazılıma “EffectiveIdiot”, “ThiefQuest” veya “EvilQuest” adını verebilirsiniz. Ransomware-Data, Thief-Spyware kombinasyonunun ortaya çıkması önemli bir gelişme olarak görülmektedir.Her zaman olduğu gibi, macOS kullanıcılarını, Windows kullanıcılarının tek koruması olmadığı ve  kötü amaçlı yazılımlara karşı yeterli güvenliğe sahip oldukları uyarısına kulak vermeye çağırıyoruz. 

Örnek Hashler

06974e23a3bf303f75c754156f36f57b960f0df79a38407dfdef9a1c55bf8bff Mach-O

d18daea336889f5d7c8bd16a4d6358ddb315766fa21751db7d41f0839081aee2 Mach-O

c5a77de3f55cacc3dc412e2325637ca7a2c36b1f4d75324be8833465fd1383d3 Mach-O

Uzlaşma Göstergesi(Indicators of Compromise)

/var/root/.aespot

~/.aespot

~/Library/LaunchAgents/com.apple.abtpd.plist

~/Library/PrivateSync/com.abtpd.questd

/Library/LaunchDaemons/com.apple.abtpd.plist

/Library/PrivateSync/com.abtpd.questd

Kaynak: https://www.sentinelone.com/blog/evilquest-a-new-macos-malware-rolls-ransomware-spyware-and-data-theft-into-one/ (Çeviri)

Related Posts

Leave a Reply